Single Sign-On Active Directory

Memahami {i>single sign-on<i}

Dengan menggunakan Google Cloud Directory Sync, Anda otomatis membuat dan memelihara pengguna serta mengikat siklus prosesnya dengan pengguna di Active Directory.

Meskipun Google Cloud Directory Sync menyediakan detail akun pengguna, Google Cloud Directory Sync tidak menyinkronkan sandi. Setiap kali pengguna perlu melakukan autentikasi di Google Cloud, autentikasi tersebut harus didelegasikan kembali ke Active Directory, yang dilakukan menggunakan AD FS dan protokol Security Assertion Markup Language (SAML). Penyiapan ini memastikan bahwa hanya Active Directory yang memiliki akses ke kredensial pengguna dan menerapkan kebijakan atau mekanisme autentikasi multi-faktor (MFA) yang sudah ada. Selain itu, hal ini menetapkan pengalaman single sign-on antara lingkungan lokal Anda dan Google.

Untuk detail selengkapnya tentang single sign-on, lihat Single sign-on

Mengonfigurasi AD FS

Sebelum mengaktifkan Single Sign-On di Cloud Identity atau Google Workspace, Anda harus mengonfigurasi AD FS terlebih dahulu.

Menciptakan kepercayaan pihak tepercaya

Buat kepercayaan pihak tepercaya baru:

1. Login ke server AD FS Anda dan buka snap-in MMC AD FS Management.
2. Pilih AD FS > Relying Party Trusts.
3. Di panel Actions, klik Add trusted party trust.
4. Di halaman Welcome di wizard, pilih Claims aware, lalu klik Start.
5. Di halaman Pilih sumber data, pilih Masukkan data tentang pihak tepercaya secara manual, lalu klik Berikutnya.
6. Di halaman Specify display name, masukkan nama, contohnya Google Cloud, lalu klik Next.
7. Di halaman Konfigurasi sertifikat, klik Berikutnya.

8. Pada halaman Configure URL, pilih Enable support for the SAML 2.0 WebSSO protocol, dan masukkan URL layanan SSO berikut:

   https://www.google.com/a/DOMAIN/acs

   Ganti DOMAIN dengan domain primer akun Cloud Identity atau Google Workspace Anda, lalu klik Berikutnya.

   

9. Di halaman Mengonfigurasi ID, tambahkan dua ID berikut:

   • google.com/a/DOMAIN, mengganti DOMAIN dengan domain primer akun Cloud Identity atau Google Workspace Anda
   • google.com

   Kemudian klik Berikutnya.

   

10. Di halaman Pilih kebijakan kontrol akses, pilih kebijakan akses yang sesuai, lalu klik Berikutnya.

11. Di halaman Ready to Add Trust, tinjau setelan Anda, lalu klik Next.

12. Di halaman terakhir, hapus centang pada kotak Konfigurasi kebijakan penerbitan klaim dan tutup wizard.

    Dalam daftar kepercayaan pihak tepercaya, Anda kini akan melihat entri baru.

Mengonfigurasi URL logout

Jika Anda memungkinkan pengguna menggunakan single sign-on di beberapa aplikasi, Anda harus mengizinkan mereka logout di beberapa aplikasi:

1. Di konsol AD FS Management, di bagian Relying Party Trusts, klik kanan kepercayaan yang baru saja Anda buat, lalu klik Properties.
2. Pada tab Endpoints, klik Add SAML.

3. Pada dialog Add an Endpoint, konfigurasi setelan berikut:

   1. Endpoint type: Logout SAML
   2. Binding: POST

   3. URL Tepercaya: https://ADFS/adfs/ls/?wa=wsignout1.0

      Ganti ADFS dengan nama domain server AD FS yang sepenuhnya memenuhi syarat.

      

4. Klik Oke.

5. Klik OK untuk menutup dialog.

Mengonfigurasi pemetaan klaim

Setelah AD FS mengautentikasi pengguna, AD FS akan mengeluarkan pernyataan SAML. Pernyataan ini berfungsi sebagai bukti bahwa otentikasi telah berhasil dilakukan. Pernyataan harus mengidentifikasi siapa yang telah diautentikasi, yang merupakan tujuan klaim NameID.

Agar Login dengan Google dapat mengaitkan NameID dengan pengguna, NameID harus berisi alamat email utama pengguna tersebut. Bergantung pada cara Anda memetakan pengguna antara Active Directory dan Cloud Identity atau Google Workspace, NameID harus berisi UPN atau alamat email dari Active Directory pengguna, dengan substitusi domain diterapkan sesuai kebutuhan.

Mengekspor sertifikat penandatanganan token AD FS

Setelah AD FS mengautentikasi pengguna, AD FS akan meneruskan pernyataan SAML ke Cloud Identity atau Google Workspace. Agar Cloud Identity dan Google Workspace dapat memverifikasi integritas dan keaslian pernyataan tersebut, AD FS menandatangani pernyataan dengan kunci penandatanganan token khusus dan memberikan sertifikat yang memungkinkan Cloud Identity atau Google Workspace memeriksa tanda tangan.

Sekarang Anda mengekspor sertifikat penandatanganan dari AD FS:

1. Di konsol Pengelolaan AD FS, klik Service > Certificates.
2. Klik kanan sertifikat yang tercantum di bagian Token-penandatanganan, lalu klik View Certificate.
3. Pilih tab Details.
4. Klik Copy to File untuk membuka Certificate Export Wizard.
5. Di Welcome to the certificate Export wizard, klik Berikutnya.
6. Di halaman Export private key, pilih No, do not export the private key.
7. Di halaman Export file format, pilih Base-64 encoding X.509 (.CER) lalu klik Next.
8. Di halaman File to Export, berikan nama file lokal, lalu klik Next.
9. Klik Finish untuk menutup dialog.
10. Salin sertifikat yang diekspor ke komputer lokal Anda.

Mengonfigurasi akun Cloud Identity atau Google Workspace Anda

Setelah konfigurasi AD FS selesai, Anda kini dapat mengonfigurasi single sign-on di akun Cloud Identity atau Google Workspace:

1. Buka Konsol Admin, lalu buka SSO dengan IdP pihak ketiga.

   Buka SSO dengan IdP pihak ketiga

2. Klik Tambahkan profil SSO.

3. Setel Siapkan SSO dengan Penyedia Identitas pihak ketiga ke aktif.

4. Masukkan setelan berikut. Di semua URL, ganti ADFS dengan nama domain yang sepenuhnya memenuhi syarat dari server AD FS:

   1. URL halaman login: https://ADFS/adfs/ls/
   2. URL halaman logout: https://ADFS/adfs/ls/?wa=wsignout1.0
   3. URL ubah sandi: https://ADFS/adfs/portal/updatepassword/

5. Di bagian Verifikasi sertifikat, klikUpload sertifikat, lalu pilih sertifikat penandatanganan token yang telah Anda download sebelumnya.

6. Klik Simpan.

7. Logout dari Konsol Admin.

Menguji single sign-on

Anda telah menyelesaikan konfigurasi single sign-on di AD FS dan Cloud Identity atau Google Workspace. Untuk memeriksa apakah single sign-on berfungsi sebagaimana mestinya, jalankan pengujian berikut:

1. Pilih pengguna Active Directory yang sebelumnya telah disediakan ke Cloud Identity atau Google Workspace dan belum memiliki hak istimewa admin super yang ditetapkan. Pengguna yang memiliki hak istimewa admin super harus selalu login dengan menggunakan kredensial Google, sehingga tidak cocok untuk menguji single sign-on.
2. Buka jendela browser baru, lalu buka https://console.cloud.google.com/.

3. Di halaman Login dengan Google yang muncul, masukkan alamat email pengguna, lalu klik Berikutnya. Jika menggunakan substitusi domain, Anda harus menerapkan substitusi ke alamat email.

   

   Anda akan dialihkan ke AD FS. Jika Anda mengonfigurasi AD FS untuk menggunakan autentikasi berbasis formulir, Anda akan melihat halaman login.

4. Masukkan UPN dan sandi untuk pengguna Active Directory, lalu klik Sign in.

   

5. Setelah autentikasi berhasil, AD FS akan mengalihkan Anda kembali ke Google Identity Platform. Karena ini adalah login pertama untuk pengguna ini, Anda diminta untuk menyetujui persyaratan layanan dan kebijakan privasi Google.

6. Jika Anda menyetujui persyaratannya, klik Setuju.

7. Anda akan dialihkan ke konsol Google Cloud, yang meminta Anda untuk mengonfirmasi preferensi dan menyetujui persyaratan layanan Google Cloud. Jika Anda menyetujui persyaratannya, klik Ya, lalu klik Setuju dan Lanjutkan.

8. Di kiri atas, klik ikon avatar, lalu klik Logout.

   Anda kemudian dialihkan ke halaman AD FS yang mengonfirmasi bahwa Anda telah berhasil logout.

Jika mengalami masalah saat login, Anda mungkin menemukan informasi tambahan di log admin AD FS.

Perlu diingat bahwa pengguna yang memiliki hak istimewa admin super dikecualikan dari single sign-on, sehingga Anda masih dapat menggunakan konsol Admin untuk memverifikasi atau mengubah setelan.